1. 디지털포렌식의 역사
포렌식의 어원
#포룸 (라틴어: forum, 시장)
고대 로마시대의 형사 재판은 'forum(포룸 또는 포럼)'에서의 토론(일종의 공개 재판)을 통해 범죄에 대한 기소를 진행했다고 한다.
이 Forum에서의 중요사안은 일종의 공청회라고 볼 수 있는 'Forensics'에서 다뤄졌고 최종적인 판결내어, 이후 '포렌식forensic'이라고 하는 단어의 유래가 되었다.
따라서 오늘 날에는 포렌식forensics을 '법적인legal', '법정과 관련한'이라는 뜻으로 사용하며 큰 의미로는 '법정 변론을 위해 이용되는 모든 과학 분야'를 통칭한다.
오늘날의 포렌식은?
모두가 아는 고대 그리스 시대 아르키메데스의 '유레카' 이야기, 또는 조선시대 살인 사건이 일어났을 때 그 사체를 조사하는 법을 써낸 지침서인 '신주무원록' 등 의학적 의미의 Forensic(법의학)은 매우 오래 전부터 사용되고 있었다.
결국은, 포렌식Forensics이란 증거를 찾기 위한 과학 수사의 한 분야이다.
디지털포렌식이란?
#정의
"디지털 매체에서 특정 행위와 관련된 디지털 증거를 추출 및 분석하여 법정에 증거로 제출하는 일련의 절차"
정의가 매우 길고 명확하지 않은데, 이 긴 정의에서의 키워드는 "일련의 절차"이다.
디지털 증거라는 것 자체가 휘발성이 강하고 위변조가 쉽기 때문에 수집되고 법정에 제출되는 그 과정 자체가 디지털 포렌식이며 단순히 파일 복구나 보고서 작성만이 디지털 포렌식이라고 생각하는 것은 큰 오산이다.
#디지털포렌식의 5대 원칙
1) 원본성(무결성) - 디지털 증거의 수집, 분석, 제출 과정에서 수정, 변조없이 원본과 동일하다는 사실을 디지털 증거 수집 당시의 해쉬값으로 입증할 수 있어야 한다.
2) 재현성 - 증거 수집의 과정을 전부 기술해야 하고, 누구든지 동일한 분석도구를 이용하여 동일한 분석 순서와 분석 방법으로 검증하였을 경우, 항상 동일한 분석 결과가 산출되어야 한다.
3) 정당성(형사) - 획득한 증거자료는 적법한 절차를 준수해야 한다.
위법수집증거배제법칙(형사소송법 제 308조의 2), 독수독과이론
+ 신뢰성(민사) - 민사에서는 정당성을 준수하지 않는대신, 대검찰청, 경찰청, 국정원 등에서 사용하는 공인된 분석 프로그램과 경찰청 등 디지털포렌식 수사 경력을 갖춘 전문가에 의해 분석이 이루어지고 보고서가 작성되어야 한다.
4) 연계보관성 - 수집, 분석, 제출까지의 과정에서 오염되지 않고 안전하게 이송되어야 한다.
5) 신속성 - 쉽게 휘발되는 증거물부터 빠르게 획득해야 한다.
위 5대 원칙 중 원본성, 신뢰성, 재현성을 '디지털포렌식의 3대 원칙'이라고 하며, 이중 하나라도 제대로 지켜지지 않으면 증거로서 인정될 수 없다. 이는 곧 패소로 이어진다.
#디지털포렌식의 절차
기기 수집(압수) -> 이송 -> 포렌식 분석 -> 보고서 작성 -> 법원 제출
1) 기기 수집: 디지털 기기를 압수하기 전에 수집 장소, 그 장소에 출입할 수 있는 사람, 수집에 필요한 인원 등 증거 수집(압수)를 위한 스케치를 진행한다. 수집 중에는 "선별 압수(해당 케이스에 관련된 증거만 수집하는 것)" 해야 한다.
2) 이송: 압수 대상을 수집 후 봉인, 담당자 서명, 압수 목록 작성, 압수 당시 화면 녹화 등 이송 과정 중 위변조가 되지 않았음을 입증해야 한다. 이후 분석 과정에서도 이미징, 해싱, 참관인 서명 등이 필요하다.
3) 포렌식 분석, 보고서 작성과 법원 제출: 법적 증거자료로 사용되는 디지털 포렌식의 결과는 '사실만' 기록하여야 하고, 필요시 증인으로 참석하여 결과의 책임을 져야 한다.
디지털포렌식과 데이터복구의 차이
| 디지털포렌식 | 차이 | 단순 데이터복구 |
| 디지털포렌식 전용 프로그램 사용 | 분석 프로그램 | 데이터복구 전용 프로그램 사용 |
| 신뢰성이 인증된 포렌식 분석 결과 제공 | 분석 결과 | 단순 복구 자료 제공 |
| 적합한 방법으로 추출한 데이터 증거 제출 (정당성, 신뢰성) | 증거 제출 | 법원에 복구 파일 제출 |
| 증거 능력 인정 (신뢰성, 재현성, 원본성) | 증거 능력 | 증거 능력 훼손 |
2. 대한민국 법 제도와 형사소송법의 개정
대한민국의 법 제도
#전문 법칙
"전문증거*는 증거로 할 수 없다는 것" (형사소송법 제310조의 2)
*전문증거: 경험 사실을 경험자 자신이 직접 구두로 법원에 보고하지 않고, 서면이나 타인의 진술 형식 등 간접 형식으로 법원에 전달되는 증거 (hear, say)
형사소송법의 개정
#형사소송법 제313조 제 2 항 (16년도에 개정)
"전문 증거의 작성자가 ~ 그 성립의 진정을 부인하는 경우에도 과학적 분석결과에 기초한 디지털 포렌식 조사관의 증언, 감정 등 객관적 방법으로 진정 성립이 증명되는 때에는 증거 능력을 인정" -> 전문 법칙의 예외
전문 증거는 법적 증거로 인정되지 않았지만, 법 개정으로 인해 현재는 디지털 포렌식의 통해 전문 증거도 법적 근거로 인정될 수 있다.
3. 디지털포렌식의 활용 범위
디지털포렌식의 활용 범위 및 적용 분야
스마트폰, PC, 하드 디스크, 서버, CCTV...
그 외 음성 파일, 웨어러블 기기의 데이터, 선박 데이터, 비행기 데이터 등 모든 전자 매체는 디지털 포렌식을 적용할 수 있는 범주 내에 있다.
따라서 디스크 포렌식, 네트워크 포렌식, 인터넷 포렌식, 모바일 포렌식, DB 포렌식, 암호 포렌식, 회계 포렌식, 메모리 포렌식 등 다양한 분야에서 활용되며, 민형사 소송대응, 영업비밀 유출조사, 내부직원 비위분석, 저작권 침해대응, 기업 M&A 컨설팅, 사기피해 증거분석 등에 적용된다.
+) 차세대 디지털 포렌식의 주요 흐름: E-DISCOVERY 제도
한국형 이디스커버리 도입 ‘급물살’ - 데이터넷
[데이터넷] 한국형 이디스커버리(전자증거개시, e-Discovery) 도입 논의가 급물살을 타고 있다. 특허청은 지난 11일 ‘한국형 디스커버리 제도’ 도입을 주내용으로 하는 특허법 개정안을 올 하반기
www.datanet.co.kr
'FORZ > [디지털포렌식 A to Z] review' 카테고리의 다른 글
| [FORZ] BBQ vs BHC의 치킨전쟁과 디지털 포렌식 (0) | 2020.12.13 |
|---|---|
| [FORZ] 고려대학교 정보보호대학원장 이상진 교수님 Q&A (0) | 2020.12.10 |
| [디지털포렌식 A to Z] 디지털포렌식 증거 수집 방법 (0) | 2020.11.12 |